Skip links

EUs dataforordning er mere end lovgivning

Analyse. EU’s forordning om persondatabeskyttelse har et markant fokus på databeskyttelse som grundrettighed. EU Charteret for grundrettigheder indeholder nemlig retten til persondatabeskyttelse som en selvstændig rettighed ved siden af retten til respekt for privatlivet. Med forordningen får disse grundrettigheder et konkret indhold, der forpligter alle aktører i den offentlige og private sektor til at værne om persondata. Samtidig er det lykkedes at skrue en forordning sammen, der taler ind i virksomheders dagligdag; der er fokus på sikkerhed, risikoafdækning og -styring, på leverandørforhold og på dokumentation. Det gør det muligt at integrere databeskyttelse i eksisterende processer og rutiner, hvilket i sig selv bidrager til bedre beskyttelse af persondata.

Fokus på individet

Beskyttelsen af individet står centralt og præger både forordningens krav til databehandling og det niveau, der er valgt for administrative bøder som sanktion for manglende opfyldelse af forordningen. Det er højt, helt op til 20 mio euro eller for virksomheder 4% af den årlige omsætning. Det signalerer alvorlighed. I præamblen til forordningen slås det da også fast, at ”Behandling af personoplysninger bør have til formål at tjene menneskeheden”.

Det har som konsekvens at kravene til persondatabeskyttelse bliver strengere og at der bliver stillet større krav til virksomhedernes dataansvarlighed. De hovedprincipper om fairness og transparens, som forordningen hviler på, lægger således en dataetisk dimension til al persondatabehandling, ligesom det mere håndfaste krav om dokumentation af databehandlingen i praksis vil betyde, at virksomheder og myndigheder skal have overblik over deres it-arkitektur og de data flows, som persondata indgår i, både internt og med eksterne samarbejdspartnere. Det samme gør de skrappere krav til databehandlere.

Rigtig timing

Der er ingen tvivl om, at forordningen kommer på et rigtigt tidspunkt. Vores brug af data til at udvikle forretningsområder gennem større viden om kundernes køb, interesser og præferencer slår for alvor igennem nu og bliver båret på vej at mere effektive redskaber, fx algoritmer, til at analysere big data, koncepter om smarte byer og selvkørende biler. Samtidig betyder digitaliseringen af mange forretningsområder og stabsfunktioner, at behovet for korrekte og opdaterede data er erkendt, ligesom cyberangreb og datalæk har øget opmærksomheden på direktionsgangene for robust it-sikkerhed.
Men den bliver en udfordring for mange, fordi den ikke blot stiller nye krav til databehandlingen, men også til sikkerheden og den måde, databehandlingen organiseres og dokumenteres på. Og derudover introducerer risikovurderinger som en del af databeskyttelsesuniverset og beder om indlejring af persondatabeskyttelse i designet af de systemer, der skal behandle persondata. Forordningen er derfor relevant for både jurister, ingeniører og it-udviklere, for sikkerhedschefer, HR- og CSR-chefer, og for CFO-er og andre med risikoafdækning og –appetit som arbejdsområde.

Helhedsorienteret

Samlet set indfører forordningen en helhedsorientering på persondatabeskyttelsesområdet. Det drejer sig ikke længere kun om overholdelse af lovgivning, men også om forretningsmæssige risici, om valg af de rigtige it-løsninger og leverandører, om formaliserede processer og procedurer, og om kompetence- og en sikkerheds og persondatakulturudvikling.

[pdf-embedder url=”https://dataethics.eu/wp-content/uploads/DataEthicsEUWhitepapersPersondataforordningMaj2016.pdf”]

DataEthics.EU medstifter, Birgitte Kofod Olsen, der har en juridisk PhD-grad i persondatabeskyttelse og til daglig er partner i konsulentvirksomheden Carve, har udarbejdet et kort white paper, der gennemgår begreber og principper i den nye EU forordning om persondatabeskyttelse.